问题标签 [suhosin]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
2076 浏览

php - suhosin 补丁或扩展和 zend 优化器

我一直想知道 Suhosin Patch 和 Extension 之间的区别?例如,我应该使用带有 Xcache 1.3.1 和 Zend Optimizer 3.3.0.a 的 PHP 5.2.17 安装其中的哪一个?应该是 Suhosin Extension 0.9.32.1 吗?补丁版本 PHP 版本是否特定于 PHP 5.3.4/5.3.3 的 Suhosin 补丁 0.9.10 和 PHP 5.2.17 的 Suhosin 补丁 0.9.7?

从安全角度来看,我也无法理解 Patch 和 Extension 之间的明显区别,它们有何不同?

0 投票
1 回答
4456 浏览

php - 'php pyrus.phar' 不会被执行

我在 Debian 上使用 PHP 5.3 并根据php -m'Phar' 加载。

但是执行php pyrus.pharorphp pyrus.phar config-show根本没有输出。

可能是什么问题?

php -i给我:

让我感到困惑的是 libxml2 应该默认可用于 PHP >5.3.1,但 php -m 仅列出 libxml。虽然 php -i 会给我:

0 投票
3 回答
3643 浏览

php - 解密和读取 Suhosin 会话数据

我刚刚注意到我的主机开始使用 Suhosin Hardening,我对此不太熟悉,并且我的应用程序遇到了重大问题,主要是在会话中。

会话现在以以下格式存储:

我不介意,但它也破坏了我的应用程序,我需要一种方法来解码加密,因为它不允许我因此登录到我的应用程序。

我有一个反序列化会话数据的功能,不知道我在哪里拿起但这里是:

它给出了该函数的偏移错误,因为会话数据不是它所期望的格式,这就是为什么我想知道是否有人知道解密/解码上述丑陋的 suhosin 数据以以其原始格式呈现它的方法?

- 编辑 -

发布使用上述反序列化函数的函数

提前致谢!

0 投票
2 回答
1144 浏览

php - 我需要在 VPS 上安装 Suhosin 安全补丁吗?

我有一个带有 Linode 的 VPS,开箱即用的 Ubuntu 服务器设置附带了Suhosin PHP 安全补丁。恼人的问题是它影响了一些事情,即 CakePHP 会话/cookies 和一些对 phpMyAdmin 的副作用。

由于我是唯一一个可以登录到服务器并将在其上编写所有代码的人,所以 suhosin 补丁是否完全必要?我也在使用框架和通常被认为是“安全”的软件。如果我不需要它,是否容易删除?

更新 对于那些想要删除它的人来说,这个命令对我有用:apt-get remove php5-suhosin另外,您可能想要删除任何suhosin.ini可能被留下的配置文件(名为 )。

0 投票
0 回答
107 浏览

php - $_GET 中没有出现超过 513 个符号的字符串

可能重复:
查询变量不能超过 512 个字符

我已从 PHP 5.2 切换到“带有 Suhosin-Patch (cli) 的 PHP 5.3.3-7(构建时间:2011 年 1 月 5 日 10:36:05)”并且有非常非常奇怪的问题。

例如,当我有一个 URL:domain.com/file.php?abc=<string>并且这个字符串的长度超过 513 个符号时,那么$_GET数组是空的并且没有元素 abc?

为什么?任何人都可以帮助我吗?这是一个错误还是我可以通过一些设置来处理它php.ini

非常重要,因为我的网站现在无法正常工作!

0 投票
2 回答
2016 浏览

php - php suhosin 警报

我用苏霍辛。我收到以下警报。

ALERT-SIMULATION - tried to register forbidden variable '_REQUEST' through GET variables (attacker
ALERT-SIMULATION - tried to register forbidden variable '_REQUEST[option]' through GET variables (attacker
ALERT-SIMULATION - tried to register forbidden variable '_REQUEST[Itemid]' through GET variables (attacker
ALERT-SIMULATION - tried to register forbidden variable 'GLOBALS' through GET variables (attacker

他们是真正的攻击者吗?如果没有,如何设置 suhosin 配置以忽略这些警报?

0 投票
1 回答
1307 浏览

php - php suhosin 配置

在我对 suhosin 配置进行任何更改之前,
日志记录显示了很多警报,
包括变量名长度、值长度、memory_limit、ASCIIZ null 等。

所以,我要做的是更改相关的 suhosin 配置设置。
即增加值长度、memory_limit、允许ASCIIZ null 等等。

重置后,警报减少了很多。
但是,有时它仍然有类似的警报,即值长度。

那么,我是否需要进一步增加这些 suhosin 配置设置?

0 投票
2 回答
2162 浏览

php - 无法使用 AJAX 文件上传器上传 5mb 文件

我正在使用文件上传插件(来自:https ://github.com/valums/file-uploader )将文件上传到我的网站。

如果您使用的是现代网络浏览器(如 Firefox 6 或 Chrome 13),那么它会通过在 POST 正文中流式传输文件来上传,并且可以为您提供进度条。如果您使用的是 IE(或旧浏览器),它会使用标准的 $_FILES(使用隐藏的 iFrame)。

一切正常,但突然我无法在 Chrome 或 Firefox 中上传 5MB 的文件。当我在 Chome 或 Firefox 中上传一个 5MB 的文件时,我收到 500 错误,我的 PHP 代码甚至从未运行过。如果我使用 Internet Explorer(使用 $_FILES),它可以正常工作。

这一定是一个配置问题,因为我的 PHP 代码甚至从未运行过。所以,我检查了我的设置。

/etc/php.ini

我找了LimitRequestBody,但找不到(默认是无限的)。

设置看起来不错。我调试了一段时间,我不知道出了什么问题。

有没有我缺少的设置?如果这很重要,服务器已经安装了 suhosin。

这是我正在使用的后端(我正在使用 CodeIgniter)代码。

我知道我的代码可以正常工作,因为小于 4MB 的文件可以正常上传(在所有浏览器上)。我只对大于 5mb 的文件有问题(使用 Chrome/Firefox)。奇怪的是,这在我的测试服务器上运行良好,但不是我的生产服务器。他们可能有不同的设置(suhosin 正在生产中,但未在测试中)。

0 投票
1 回答
249 浏览

php - 重新加载 apache2 配置时的 suhosin 加密错误

我安装了一个运行 php 和 suhosin 的 Apache2 服务器。php 会话由 Zend_Session 处理并存储在数据库中。Suhosin 配置为在将会话数据保存到数据库之前对其进行加密。

虽然 apache2 在之后运行

一切正常,直到我要求 apache2 重新加载使用

似乎 suhosin 没有正确加载,并且不再处理会话数据加密。

例如:

- 重新加载之前

-重新加载后

如果重新启动 apache,会话数据将再次加密。

以下是我拥有的操作系​​统、apache2、php 和 suhosin 的版本:

有没有人遇到过同样的问题?对此的任何帮助将不胜感激。

谢谢

0 投票
3 回答
775 浏览

php - PHP 5.3、Suhosin 和 UTF-8

我正在努力寻找一种解决方案来继续使用 Suhosin 补丁并使其适用于 UTF-8 表单提交。这是我做的非常简单的测试:

使用字符串iñtërnâtiônàlizætiøn。显然,我首先在服务器上启用了 utf-8 标头,并将 Php default_charset 设置为 utf-8,并启用了 mb* 覆盖。一旦我禁用 Suhosin 补丁并重新提交表单,一切都会正常运行。

更新

为了确定,我做了更多的测试:

在启用 Suhosin 补丁的情况下,这两个测试都返回 false,否则返回 true。问题是:这是一个错误还是预期的行为?Suhosin 补丁是否有一个配置参数,它对多字节字符串有什么魔力?

在这一点上我看到的唯一选择是禁用补丁,除非聪明的头脑给出正确的建议。

更新 2

GET 字符串不会被损坏,并且会正确显示在浏览器中。目前只做 POST 。